Esta página foi traduzida pela API Cloud Translation.

Configurar o VPC Service Controls

Esta página oferece uma visão geral do VPC Service Controls, um recurso Google Cloud que se integra ao AlloyDB para proteger dados e recursos.

O VPC Service Controls ajuda a reduzir o risco de exfiltração de dados das instâncias do AlloyDB. É possível usar o VPC Service Controls para criar perímetros de serviço que protegem os recursos e os dados dos serviços especificados explicitamente.

Para uma visão geral geral do VPC Service Controls, os benefícios de segurança e os recursos em Google Cloud produtos, consulte Visão geral do VPC Service Controls.

Antes de começar

No console do Google Cloud, acesse a página Seletor de projetos.

Acessar o seletor de projetos
Selecione ou crie um Google Cloud projeto.
Observação:se você não pretende manter os recursos criados neste procedimento, crie um projeto novo em vez de selecionar um que já existe. Depois de concluir essas etapas, é possível excluir o projeto, removendo todos os recursos associados a ele.
Verifique se o faturamento foi ativado para o Google Cloud projeto. Saiba como verificar se o faturamento está ativado em um projeto.
Ative a API Compute Engine.
Ativar a Compute Engine API
Ative a API Service Networking.
Ative a API Service Networking
Adicione os papéis de gerenciamento de identidade e acesso (IAM) à conta de usuário ou serviço que você está usando para configurar e administrar o VPC Service Controls. Para mais informações, consulte Papéis do IAM para administrar o VPC Service Controls.
Analise as limitações ao usar o VPC Service Controls com o AlloyDB.

Como proteger o serviço AlloyDB usando o VPC Service Controls

Antes de começar, leia a Visão geral do VPC Service Controls e as Limitações do AlloyDB ao usar o VPC Service Controls.

A configuração do VPC Service Controls para um projeto do AlloyDB inclui as seguintes etapas:

Crie e gerencie um perímetro de serviço.

Primeiro, selecione o projeto do AlloyDB que você quer que o perímetro de serviço da VPC proteja e, em seguida, crie e gerencie o perímetro de serviço.
Criar e gerenciar níveis de acesso.

Opcionalmente, para permitir o acesso externo a recursos protegidos dentro de um perímetro, use níveis de acesso. Os níveis de acesso são aplicados somente às solicitações de recursos protegidos de fora do perímetro de serviço. Não é possível usar níveis de acesso para conceder a recursos protegidos ou VMs permissão para acessar dados e serviços fora do perímetro.

Criar e gerenciar um perímetro de serviço

Para criar e gerenciar um perímetro de serviço, siga estas etapas:

Selecione o projeto do AlloyDB que você quer que o perímetro de serviço da VPC proteja.
Crie um perímetro de serviço seguindo as instruções em Como criar um perímetro de serviço.
Adicione mais instâncias ao perímetro de serviço. Para adicionar instâncias do AlloyDB ao perímetro, siga as instruções em Como atualizar um perímetro de serviço.
Adicione APIs ao perímetro de serviço. Para reduzir o risco de seus dados serem exportados do AlloyDB, é preciso restringir a API AlloyDB, a API Compute Engine, a API Cloud Storage, a API Container Registry, a API Certificate Authority Service e a API Cloud KMS. Para mais informações, consulte update access-context-manager perimeters.

Para adicionar APIs como serviços restritos:
Console
1. No console do Google Cloud, acesse a página VPC Service Controls.
  Acessar o VPC Service Controls
2. Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.
3. Clique em Editar.
4. Na página Editar perímetro de serviço da VPC, clique em Adicionar serviços.
5. Adicione a API AlloyDB, a API Compute Engine, a API Cloud Storage, a API Container Registry, a API Certificate Authority Service e a API Cloud KMS.
6. Clique em Salvar.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
```
- PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetro.
- POLICY_ID: o ID da política de acesso.
Se você ativou os insights de consulta aprimorados, adicione a API databaseinsights.googleapis.com ao perímetro de serviço como um serviço restrito:
Console
1. No console do Google Cloud, acesse a página VPC Service Controls.
  Acessar o VPC Service Controls
2. Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.
3. Clique em Editar.
4. Na página Editar perímetro de serviço da VPC, clique em Adicionar serviços.
5. Adicione databaseinsights.googleapis.com.
6. Clique em Salvar.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
```
- PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetro.
- POLICY_ID: o ID da política de acesso.

Criar e gerenciar níveis de acesso

Para criar e gerenciar níveis de acesso, siga as instruções em Como permitir o acesso a recursos protegidos de fora de um perímetro.